Katalog CVE

CVE-2026-32843

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.45%

Percentyl 37 - wyżej niż 37% wszystkich znanych CVE

Streszczenie

Podatność XSS w systemie Location Aware Sensor System firmy Linkit ONE (do commitu f06bd20 z 2023-04-26) występuje w pliku PM25.php. Atakujący może wstrzyknąć złośliwy kod JavaScript do parametrów GET (site, city, district, channel, apikey), co prowadzi do wykonania skryptu w przeglądarce ofiary.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży sesji, przekierowania do złośliwych stron lub kradzieży danych uwierzytelniających użytkowników odwiedzających spreparowany URL.

Rekomendacja

Zaleca się natychmiastową aktualizację systemu do wersji po commicie f06bd20 oraz zastosowanie kodowania wyjścia (output encoding) dla wszystkich parametrów GET w pliku PM25.php.

Oryginalny opis (angielski, źródło NVD)

Location Aware Sensor System by Linkit ONE, up to commit f06bd20 (2023-04-26), contains a reflected cross-site scripting vulnerability in the PM25.php file that allows remote attackers to execute arbitrary JavaScript by injecting malicious code into GET parameters. Attackers can craft a malicious URL containing unencoded payloads in the site, city, district, channel, or apikey parameters to execute scripts in victims' browsers when they visit the page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS